Layer-1 blockchain network Harmony Protocol (ONE) sinabi noong Hunyo 24 na sinamantala ng isang hacker ang horizon bridge nito, at ninakaw ang humigit-kumulang $100 milyon na halaga ng mga token sa tulay.
1/ Natukoy ng Harmony team ang isang pagnanakaw na naganap ngayong umaga sa Horizon bridge na humigit-kumulang. $100MM. Nagsimula na kaming makipagtulungan sa mga pambansang awtoridad at mga forensic specialist upang matukoy ang salarin at makuha ang mga ninakaw na pondo.
Higit pa ?
— Harmony ? (@harmonyprotocol) Hunyo 23, 2022
Ang pag-atake ay isa sa pinakamalaki nitong mga nakaraang linggo. Sinabi ni Harmony na nagsimula na itong "makipagtulungan sa mga pambansang awtoridad at mga forensic specialist upang matukoy ang salarin at makuha ang mga ninakaw na pondo."
Idinagdag ng koponan na ang pagsasamantala ay hindi nakaapekto sa walang tiwala na Bitcoin (BTC) Tulay, at mga asset na nakaimbak sa mga desentralisadong vault ay nananatiling ligtas.
Ang Horizon bridge ay nag-uugnay sa Harmony protocol sa iba pang mga network tulad ng Ethereum at Binance Smart Chain, na nagpapahintulot sa mga paglilipat ng mga cryptocurrencies, stablecoin, at NFT sa pagitan ng Harmony blockchain at ng network.
Binalaan si Harmony tungkol sa kahinaan
Noong Abril, ang blockchain developer at researcher na si Ape Dev binalaan tungkol sa mahinang seguridad ni Harmony. Hinulaan nila na maaaring pagsamantalahan ito ng isang malisyosong partido sa isang pag-atake na maaaring humantong sa pagkalugi ng hanggang $330 milyon.
Ang seguridad ng tulay ay kasalukuyang nakabatay sa isang multisig wallet na naka-deploy sa 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6. Mayroon itong apat na may-ari, dalawa sa mga ito ay kinakailangang pumayag upang maisagawa ang isang di-makatwirang transaksyon (ibig sabihin, maubos ang $330m). pic.twitter.com/sgYmyPrYgf
— Ape Dev (@_apedev) Abril 1, 2022
Ayon sa magagamit na impormasyon, inilipat ng attacker ang mga pondo sa 12 transaksyon gamit ang tatlong address ng pag-atake. Bilang resulta, maaari nilang ilipat ang mga pondo sa mga token gaya ng ETH, WBTC, USDT, AAVE, WETH, FXS, SUSHI, FRAX, DAI, BUSD, at AAG.
Nakuha ng attacker ang kontrol sa MultiSigWallet at nakumpirma ang mga transaksyon para direktang ilipat ang mga ninakaw na pondo.
Ang Horizon bridge ng Harmony Protocol ay na-hack at $100 milyon ang pinatuyo kanina.
Ang tulay ay mahalagang 2 sa 5 multisig. Kung sinabihan ito ng alinmang 2 address na maglipat ng mga pondo sa isang tao, ginawa nito.
Nakompromiso ng hacker ang 2 address at pinaubos ang pera. ?? pic.twitter.com/hv1JWDy9WQ
- Mudit Gupta (@Mudit__Gupta) Hunyo 24, 2022
Habang ang pagkakakilanlan ng hacker ay nananatiling hindi alam, ang katotohanan na ang koponan ng Harmony ay maaaring pumigil sa pag-atake ay magtataas ng mga katanungan tungkol sa seguridad nito sa gitna ng komunidad ng crypto.
Karamihan sa mga ninakaw na token ay nasa umaatake pa rin wallet sa oras ng press. Gayunpaman, sinimulan ng umaatake na i-convert ang mga ninakaw na pondo sa ETH sa pamamagitan ng Uniswap.
Ang @harmonyprotocol bridge exploiter 0x0d04…ed00 ay nagnakaw ng 11 iba't ibang erc-20 token at 13,100 Ether mula sa tulay.
Pagkatapos ay inilipat nila ang iba pang mga token ng erc-20 sa dalawang iba pang mga wallet upang magpalit sa pamamagitan ng uniswap at ang iba ay ibabalik sa eth, at sa wakas ay bumalik ito sa 0x0d04…ed00. pic.twitter.com/HY5JepVrPu
— MistTrack (@MistTrack_io) Hunyo 24, 2022
Pinagmulan: https://cryptoslate.com/harmony-protocols-horizon-bridge-exploited-100m-stolen/